Le suivi informatisé des évolutions professionnelles est-il soumis à des obligations RGPD ?
Réponse courte
Tout outil informatisé de suivi des évolutions professionnelles (SIRH, plateformes de talent management) traite des données à caractère personnel au sens du RGPD (règlement UE 2016/679) et de la loi du 1er août 2018. L'employeur doit identifier la base légale du traitement (art. 6 RGPD : exécution du contrat, intérêt légitime, consentement), tenir un registre des activités, et informer les salariés de la finalité, des destinataires et de la durée de conservation.
Les évaluations, projets de carrière et cotations « hauts potentiels » peuvent constituer du profilage par IA évaluant les performances au sens de l'article 22 RGPD, ouvrant un droit d'opposition lorsqu'une décision automatisée produit des effets juridiques. La CNPD sanctionne les manquements jusqu'à 20 millions € ou 4 % du chiffre d'affaires mondial. Les données doivent être limitées au strict nécessaire (minimisation) et conservées pour une durée définie, généralement 5 ans selon les règles de conservation des dossiers RH après la fin du contrat.
Définition
Le suivi informatisé des évolutions professionnelles désigne l'enregistrement et le traitement automatisé des données relatives à l'historique professionnel, aux évaluations, aux compétences et aux perspectives de carrière, dans des outils RH dédiés (SIRH, talent management, mobilité interne).
Le traitement de données inclut toute opération (collecte, enregistrement, consultation, modification, transmission). Dès qu'il porte sur des informations identifiantes, il relève intégralement du RGPD, indépendamment du caractère interne ou externe de l'outil.
Questions fréquentes
Conditions d’exercice
Le SIRH n'échappe pas au RGPD : la base légale, l'information préalable du salarié et le respect des droits d'accès et de rectification s'appliquent dès lors que des données personnelles sont collectées et conservées.
| Condition | Exigence |
|---|---|
| Base légale identifiée | Exécution du contrat, intérêt légitime ou consentement (art. 6 RGPD) |
| Information préalable | Notice d'information remise aux salariés (finalité, destinataires, durée) |
| Minimisation des données | Limitation au strict nécessaire à la finalité poursuivie |
| Durée de conservation | Délai défini, généralement 5 ans après fin de contrat |
| Sécurité technique | Chiffrement, contrôle d'accès, journalisation des consultations |
| Droits des salariés | Accès, rectification, opposition, portabilité (art. 15 à 22 RGPD) |
Modalités pratiques
L'introduction d'un SIRH ou d'un outil de surveillance de l'activité impose la consultation préalable de la délégation du personnel au-delà du cadre RGPD : l'article L.261-1 du Code du travail prévoit une procédure spécifique pour les traitements de surveillance.
| Démarche | Précision |
|---|---|
| Analyse d'impact (AIPD) | Obligatoire pour profilage ou traitement à grande échelle (art. 35 RGPD) |
| Registre des activités | Inscription du traitement (finalités, catégories, durée, destinataires) |
| Information des salariés | Notice détaillée intégrée au règlement interne ou notice RGPD |
| Information délégation | Information préalable de la délégation du personnel (L.414-3) |
| Convention sous-traitant | Si SIRH externalisé, convention art. 28 RGPD |
| Procédure droits des salariés | Process formalisé pour accès, rectification, opposition |
| Mesures de sécurité | Chiffrement, traçabilité des accès, formation des utilisateurs |
Pratiques et recommandations
Réaliser une analyse d'impact RGPD avant tout déploiement d'un outil de talent management ou de profilage de carrière.
Documenter la base légale du traitement dans le registre des activités, en privilégiant l'intérêt légitime motivé pour la gestion RH classique.
Informer les salariés par une notice spécifique remise lors de la mise en place de l'outil, intégrée au règlement interne.
Consulter la délégation du personnel sur les outils de suivi en application de L.414-3, avant déploiement effectif.
Limiter strictement les accès aux données par profil utilisateur et tracer les consultations sensibles.
Anticiper les demandes d'accès des salariés en formalisant une procédure de réponse dans le délai d'un mois prévu par le RGPD.
Cadre juridique
| Référence | Objet |
|---|---|
| Règlement (UE) 2016/679 (RGPD) | Protection des données à caractère personnel |
| Loi du 1er août 2018 | Mise en œuvre du RGPD au Luxembourg |
| Art. 6 RGPD | Bases légales du traitement |
| Art. 22 RGPD | Décisions automatisées et profilage |
| Art. 35 RGPD | Analyse d'impact obligatoire |
| Art. L.261-1 du Code du travail | Traitements de surveillance des salariés |
| Art. L.414-3 | Information de la délégation sur les outils de gestion |
Note
La CNPD a sanctionné des employeurs pour profilage non documenté ou conservation excessive de données RH. La sécurité technique doit être proportionnée au risque (chiffrement des données sensibles, journalisation des accès, formation des utilisateurs).